Boguswebsites adverteren Google Chrome zijn gebruikt om kwaadaardige installateurs te distribueren voor een externe toegang Trojan genaamd Valleyrat.
De malware, voor het eerst gedetecteerd in 2023, wordt toegeschreven aan een bedreigingsacteur die wordt gevolgd als Silver Fox, met eerdere aanvalscampagnes die voornamelijk gericht zijn op Chinees sprekende regio’s zoals Hong Kong, Taiwan en vasteland China.
“Deze acteur heeft zich in toenemende mate gericht op belangrijke rollen binnen organisaties-met name in financiën, boekhouding en verkoopafdeling-en benadrukt een strategische focus op hoogwaardige posities met toegang tot gevoelige gegevens en systemen”, zei Morphisec-onderzoeker Shmuel Uzan in een eerder gepubliceerde rapport dat dit eerder gepubliceerd week.
Vroege aanvalsketens zijn waargenomen bij het leveren van Valleyrat naast andere malwarefamilies zoals Purple Fox en GH0st Rat, waarvan de laatste uitgebreid is gebruikt door verschillende Chinese hackgroepen.
Zo recent als vorige maand, hebben namaakinstallateurs voor legitieme software een distributiemechanisme voor de Trojan gediend door middel van een DLL -lader met de naam PNGPLUG.
Het is vermeldenswaard dat een drive-by downloadschema gericht op Chinees sprekende Windows-gebruikers eerder werd gebruikt om GH0st Rat te implementeren met behulp van kwaadaardige installatiepakketten voor de Chrome Web Browser.
Op een vergelijkbare manier omvat de nieuwste aanvalsreeks die aan Valleyrat is geassocieerd het gebruik van een nep Google Chrome -website om doelen te misleiden om een ZIP -archief te downloaden met een uitvoerbaar bestand (“Setup.exe”).
De binaire rekening, na uitvoering, controleert of het beheerdersrechten heeft en gaat vervolgens vier extra payloads downloaden, waaronder een legitiem uitvoerbaar bestand dat is gekoppeld aan Douyin (“Douyin.exe”), de Chinese versie van Tiktok, die wordt gebruikt om een schurkende dll te sideloaden ( “Tier0.dll”), die vervolgens de Valleyrat Malware lanceert.
Ook wordt opgehaald een ander DLL -bestand (“sscronet.dll”), dat verantwoordelijk is voor het beëindigen van elk loopproces dat aanwezig is in een uitsluitingslijst.
Valleyrat is samengesteld in het Chinees en geschreven in C ++ en is een Trojan die is ontworpen om de scherminhoud, log -toetsaanslagen te controleren en doorzettingsvermogen op de host te vestigen. Het is ook in staat om communicatie met een externe server te initiëren in staat te wachten om verdere instructies te wachten waarmee het processen kan opsommen, evenals het downloaden en uitvoeren van willekeurige DLL’s en binaries, onder andere.
“Voor lading -injectie misbruikte de aanvaller legitieme ondertekende uitvoerbare bestanden die kwetsbaar waren voor het kapen van het Zoeken van Dll -zoekopdracht,” zei Uzan.
De ontwikkeling komt als Sophos gedeelde details van phishing-aanvallen die schaalbare Vector Graphics (SVG) -bijlagen gebruiken om detectie te ontwijken en een op Autoit gebaseerde toetsaanslag Logger-malware zoals Nymeria of directe gebruikers te leveren om te oogstpagina’s voor referenties.
